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Vulnérabilités 

ce qu on en disait 
En 2000, David Wagner de UC Berkeley déclarait 
que 50 % des vulnérabilités logicielles rapportées 
par le CERT de 1988 à 1998 étaient dues aux 
débordements de tableaux. 


A First Step Towards Automated Detection of Buffer Overrun Vulnerabilities, NDSS 2000. 
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Vulnérabilités 

ce qu on en disait 
En 2004, le directeur de la National Cyber Secur- 
ity Division du U.S. Homeland Security déclarait 


que 95 % des failles de sécurité logicielles étaient 
dues à 19 erreurs bien connues. 


Selon les auteurs de 19 Deadly Sins of Software Security. 
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Vulnérabilités 

ce qu on en disait 
En 2006, Gary McGraw de Cigital déclarait que 
les failles de sécurité logicielles étaient dues à 


50% aux erreurs de programmation et à 50% 
aux erreurs de conception. 


Software Security — Building Security In. 
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Vulnérabilités — 
[a responsabilité du …. 


Développeur Web 
[1] Injection SQL 


[2] Vulnérabilités du serveur (XSS, Response Splitting, 
XSREF) 


[3] Vulnérabilités du client (XSS) 
[4] Magic URLS, Cookies prédictibles, 
et Champs cachés de formulaire 
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Vulnérabilités — 
[a responsabilité du …. 


Développeur d'applications 
[5]  Débordement de tableaux (C et C++) 
[6] Problème de format de chaînes (C et C++) 
[7] Débordement de la capacité d'entiers 
[8] Catastrophes C++ 
[9] Cas d’exceptions (C et C++) 
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Vulnérabilités — 
[a responsabilité du …. 


Développeur d'applications 
[10] Injection de commandes 
[11] Traitement des erreurs 
[12] Fuite d'information 
[13] Concurrence critique 
[14] Cas d'utilisations déficientes 
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Vulnérabilités — 
[a responsabilité de …. 


Développeur d'applications 
[15] Mises à jour difficiles 
[16| Exécution de code avec des droits excessifs 
[17] Protection de données insuffisante 
[18] Les péchés du code mobile 


Jean-Marc Robert, ETS Vulnérabilités logicielles - A16 9 


Vulnérabilités — 
[a responsabilité de …. 


Développeur d'applications 
(cryptographiques ou mots de passe) 
[19] Mauvaise utilisation de mot de passe 
[20] Générateur pseudo-aléatoire faible 
[21] Mauvaise utilisation de la cryptographie 
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Vulnérabilités — 
[a responsabilité de …. 


Développeur d'applications 
(réseaux) 
[22] Trafic non protégés 
[23] Mauvaise utilisation de SSL/TLS (PK) 
[24] Mauvaise résolution d'adresse IP 
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Vulnérabilités — 


le Top 25 CWE/SANS (2011) 


Interactions non-sécurisées entre les 
composantes 

[1] Injection SQL 

[2] Injection de commande de l'OS 

[4]  Cross-Site Scripting (XSS) 

[9] Téléversement de fichier 

[12] Cross-Site Request Forgery (CSRF) 

[22] Redirection d'URL 


Cette liste est ordonnée du plus courant au moins courant. 
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Vulnérabilités — 


le Top 25 CWE/SANS (2011) 


Gestion risquée des ressources 
(Buffer overflows) 
[3] Débordement de tableau (copier) 
[20] Débordement de tableau (calcul de la taille) 
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Vulnérabilités — 


le Top 25 CWE/SANS (2011) 


Gestion risquée des ressources 
[11] Exécution avec des privilèges trop élevés 
[13] Contrôle lors de l'utilisation (Path Traversai) 
[14] Téléchargement de code sans test d'intégrité 
[16] Inclusion de code source invalide 
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Vulnérabilités — 


le Top 25 CWE/SANS (2011) 


Gestion risquée des ressources 
[17] Permissions inadéquates pour une ressource 
[18] Utilisation d'une fonction potentiellement à risque 
[23] Problème de format de chaïnes 
[24] Dépassement de capacité d'entier 
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Vulnérabilités — 


le Top 25 CWE/SANS (2011) 


Défense poreuse 
[5] Mauvaise authentification 
[6] Aucun mécanisme d'autorisation 
[7]  Justificatif figé dans le code 
[8]. Absence de chiffrement 
[10] Décision basées sur des données non fiables 
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Vulnérabilités — 


le Top 25 CWE/SANS (2011) 


Défense poreuse 
[15] Mauvais contrôle d'accès (autorisation) 
[19] Algorithme cryptographique non fiable 
[21] Mécanismes inappropriés pour prévenir les 
demandes d’authentification répétés 
[25] Honction de hashage sans « salt » 
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Vulnérabilités — 


le Top 25 CWE/SANS (2019) 


Interactions non-sécurisées entre les 


composantes 

[1] Restriction inappropriée des opérations dans les limites d'un tampon de 
mémoire 

[2] Cross-Site Scripting (XSS) 

[3] validation inappropriée des données d'entrées 

[5] Injection SQL 

[11] Injection de commande de l'OS 

[16] Téléversement de fichier 


[9] Cross-Site Request Forgery (CSRF) 
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Cette liste est ordonnée du plus courant au moins courant. 


Vulnérabilités — 


le Top 25 CWE/SANS (2019) 


Gestion risquée des ressources 
[10] Contrôle lors de l'utilisation (Path Traversai) 
[15]  Permissions inadéquates pour une ressource 
[8] Dépassement de capacité d’entier 
[23] Désérialisation d'objet non validé 

Défense poreuse 
[19] Justificatif figé dans le code 
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Top 25 CWE/SANS 


(2011 à 2019) 


La principale différence entre les listes Top 25 de CWE de 
2011 et 2019 réside dans l'approche utilisée. Le Top 25 
CWE / SANS 2011 a été construit à l'aide d'enquêtes et 
d'entretiens personnels avec des développeurs, des 
analystes de la sécurité de premier plan, des chercheurs et 
des fournisseurs. Ces réponses ont été normalisées en 
fonction de la prévalence et classées par la méthodologie 
CWSS. Le Top 25 CWE 2019, en revanche, a été formé sur 
la base de vulnérabilités du monde réel détectées dans le 
NVD. 
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Vulnérabilités — OWASP 


le Top 10 WEB 2017 


OWASP Top 10 - 2013 => OWASP Top 10 - 2017 


Ai - Injection + Ai-2017-Injection 


A2 — Broken Authentication and Session Management = A2:2017-Broken Authentication 
À - Cross-Silte Scripting (XS5) Aä-2017-Sensilive Data Exposure 


À5 — Security Misconfiguration 


à 

A4 — Insecure Direct Object References [Merged+A7] [) Ad:2017-XML External Entities (XXE) [NEW] 
“ As:2017-Broken Access Control [Merged] 
ñ 


A6 — Sensitive Data Exposure A6:2017-Security Misconfiguration 

A7 - Missing Function Level Access Contr [Merged+A4] |]  A7:2017-Cross-Site Scripting (XSS) 

AB — Cross-Silte Request Forgery (CSRF) [xk] A8:2017-Insecure Deserlallzation (NEW, Community] 

49 - Using Components with known Vulnerabilities + Ag-2017-Using Components with Known Vulnerabilities 


A0 - Unvalldated Redirects and Forwards [x] A10:2017-Insufficient Logging& Monitoring [NEW.Comm.] 
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Vulnérabilités — cv: 
le Top 10 Mobile 2016 


https://www.owasp.org/index.php/Mobile Top 10 2016-Top_ 10 
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L Quelques définitions 


Exploit 
Un élément de programme permettant à un individu 
ou un logiciel malveillant d'exploiter une faille de 
sécurité informatique dans un système d'exploitation 
ou dans un logiciel. L'exploit “exploite” la 
vulnérabilité et exécute la charge utile. 
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L Quelques définitions 


Charge utile (payload) 


L'exécution de la charge utile est l'objectif ultime de 
l'attaquant et c'est ici que l'action malicieuse se 
situe. Détruire des fichiers, faire un déni de service, 
augmenter ses privilèges, obtenir un terminal (shell) 
ou installer un cheval de troie (trojan) sont des 
exemples de charge utiles. 
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Vulnérabilités suite. 


Dépassement de capacité d'entier 
Injection de commande 

Mauvaise utilisation des mots de passe 
Concurrence critique 


UNS 


Retour sur certaines vulnérabilités pour finaliser le tout. 
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Débordement de tableaux 


a Un programme permettant d'écrire des données 
au-delà de la limite d'un tableau. 
Dans le meilleur des cas, cette vulnérabilité peut 


entrainer un comportement erratique du programme 
fautif (déni de service). 


Dans le pire des cas, l'attaquant exploitant cette faille 
peut exécuter un code malicieux qu'il a construit. 
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Exemple | 


VOIid Copy (Char Fi) 
{ Chär Eu£r[i6]l;: 

StLEcboY (Due, 1n)} 
} 


int main, (Line &É9gé, Chat 


rarqv |.) 

ne Ne jamais faire confiance 

CO ON Lt 19 aux données provenant 
CT des utilisateurs! 
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Exemple Il 


char buf[20] 


char prefix{| 


SCEÉCEN 


strncat 


au lieu de 


strncat 


(buË£, 
(buË£, 


(buË£, 


Jean-Marc Robert, ETS 


parn([20]; 
= "hCLps:7/% 


PrELix); 


path, Ssizeof (but) );:; 


path, sizeof (bu) 
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— Sizeof 


(prefix)); 
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Exemple |] 


char bull 20), détal22l; 
ScLrncoy (Bur, data, Scrlen (déta)); 


au lieu de 
SerACOv (Our, data, Socrles (pur); 


La liste des erreurs menant à un débordement 


de tableaux est impossible à énumérer! 
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Explications 


a Les débordements de tableaux exploitables 


appartiennent généralement à deux classes: 


Les débordements sur la pile (Stack overflow — 
Stack smashing). 


Les débordements sur le tas (Heap overtlow). 
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Explications — Stack overilow 


VOId COpY (Chär Fin) { 


char buf[16l; 


main 

strcpy (buf, in); bloc d'activation 
| Paramètres 
int main (int argc, char ‘argv|[l}) { fonction appelée 

copy (argvil]l); 

+ Pointeur Adresse de retour (ret) . . 

| . Ho Painteur de bios (SEP) 1.7 

bloc d'activation ointeur de bloc (SFP) 


Pointeur COPY 


de pile bloc d'activation Pointeur 
variable buf de pñe 


Avant l'appel Après l'appel 
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Explications — Stack overilow 


VOid Copy (Chéär Fin) { 
Char Luis 
StrCDv ADuf, Lnput): 
} 
LE Main (IC érgc, chèr “éärgvil) { 


PTT (argv{[l]); 


| Adresse de retour | de retour 


Pointeur 


RÉ n 


Shellcode 


Pointeur 
de pile 
Après le débordement Avant le débordement 
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Vulnérabilités 


a CVE-2002-0649 — Utilisé par le vers Slammer. 


Nombreux débordements de tableau (SQL Server 
2000 Resolution Service) permettant à un attaquant 
distant de causer un déni de service ou d’exécuter 
un code malicieux. 


a CVE-2010-2212 


Débordement de tableau (Adobe Reader et Acrobat 
9.x avant 9.3.3 pour Windows et Mac OS X) 
permettant à un attaquant distant de causer un déni 
de service ou d'exécuter un code malicieux. 
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Vulnérabilités 


a CVE-2016-7110 


Huawei Ünified Maintenance Audit (UMA) à un 
attaquant distant d'exécuter des commandes 
arbitraires. 
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Statistiques 


a National Vulnerability Database 
(http://web.nvd.nist.gov/view/vuln/search) 


Recherche en utilisant les mots clés: Buffer 
overflow — mais sans analyse de pertinence. 


Il y a 6,573 entrées répondant à cette recherche 
(sur + 78,732) — 2016-09-10 
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Antidotes Filter the input! 


a Formation a Protection de la pile > 
a Revue de code Security by obscurity 
Visuelle Utilisation d'un témoin entre 


Automatique (de nombreux l'adresse de retour et les 


outils d'analyse existent) variables sur la pile. 
Syntaxique a Pile non exécutable 
Analyse statique Nécessite le support du 
Audit (interne ou externe) processeur. 
a Valider toutes les données Entraine des problèmes pour 
des usagers. la compilation JIT de Java. 
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- | Mise-en-œuvre 
Dépassement de L_-Meraru 


capacité d'entier 


a Un programme ayant une manipulation d'entier 
inadéquate. 


Dans le meilleur des cas, cette vulnérabilité peut 
entrainer un comportement erratique du programme 
fautif (déni de service). 


Dans le pire des cas, l'attaquant exploitant cette faille 
peut exécuter un code malicieux qu'il a construit. 


La plupart des langages de programmation. 
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Exemple | 


a Débordements de tableaux en C et C++ non 
prévus 
const long MAX LEN = Ox/fff; 
Char dacalOk EEE]; 
StEncoy (daba, Lanbue, Strlen(inpur)); 


Mais si la longueur de input est plus grande de 32K, la valeur de 
len sera négative. 


Casting - Erreur 
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® Exemple Il 


a Débordements de tableaux en C/C++ non prévus 
ptr = malloc (sizeof (type) * count); 
Tor (1=0$ À < Count; 14#) 
assign value to ptr[i] 


La longueur de ptr n'est pas forcément count, p.e. 256 * 128 <0 
pour short int 


Artihmetique - Erreur 
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e Exemple |] 


a OpenSSH 3.3 
HLSSb = pACKkELC get AineQ 
1f (nresp > O0) { 
response — xmalloc(nresp”"sizeor (char ®)}; 
ÉOrT (1 = 0; À < nrésp; 1++) 
e 


response[i] = packet get String (NULL); 


Si nresp = 1 073 741 824, xmalloc() réservera un espace de 0 bytel 
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G Autres cas 


a Erreurs de débordements 


En Java, il n'y a que des types signés. 
Débordements possibles. 


En Perl, le type entier est implémenté grâce à un 
réel en double précision. Danger potentiel. 


En Visual Basic.NET, exceptions détectées à 
l'exécution. Pas de débordements possibles. 
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Vulnérabilités 


a CVE-2005-2491 


Débordement d'entier (PCRE -— Perl Compatible 
Regular Expressions avant 6.2 et utilisé dans 
Python, Ethereal, and PHP) permettant à un 
attaquant distant d'exécuter un code malicieux. 


a CVE-2011-0628 
Débordement d'entier (Adobe Flash Player avant 
10.3.181.14 pour Windows, Mac OS X, Linux, et 
avant 10.3.185.21 pour Android) permettant à un 
attaquant distant d'exécuter un code malicieux. 
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& Vulnérabilités 


a CVE-2016-4210 


Débordement d’entier dans Adobe Reader et Acrobat 
avant 11.0.17, Acrobat and Acrobat Reader DC 
Classic avant 15.006.30198, et Acrobat et Acrobat 
Reader DC Continuous avant 15.017.20050 pour 
Windows et OS X permettant à un attaquant 
d'exécuter un code malicieux. 
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Statistiques 


a National Vulnerability Database 


Recherche en utilisant les mots clés: /nteger 
overflow — mais sans analyse de pertinence. 


Il y a 1,109 entrées répondant à cette recherche 
(sur - 78,732) — 2016-09-10 
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Antidotes 


a Formation a Cas particuliers 
Certaines options de 
a Revue de code compilation  (p.e. gcc -ftrapv) 
Visuelle Détection des débordements 


lors de l'exécution dans le cas 


Automatisée | 
des entiers signés. 


a Audit (interne et externe) 
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HI, THIS 16 OH, DERR -— DID HE | DID YOU REALLY 
YOUR SONS SCHOOL. | BREAK SOMETHING? | NAME YOUR SON 


VERE HAVING SOME 
CRT TROUBLE. 


Ên 


Jean-Marc Robert, ETS 


Robert'); DROP 
“S” TABLE Shenbs:-- ? 


-— OH, YES. LITTLE 
ROBBY TABLES, 
WE CALL HIM. 
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WELL, WEVE LOST THIS 
YEARS STUDENT RECORDS. 
I HOPE YOURE HAPPY. 


AND I H(PE 


KL YOUVE LEARNED 
70 SANITIZE YOUR 
DATABASE INPUTS. 
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Mise-en-œuvre 


O Injections SQL 


a Un programme permettant de soumettre à une 
base de données des requêtes SQL malformées 
où trop génériques. 

Dans le meilleur des cas, cette vulnérabilité peut 
entrainer un comportement erratique de la base de 
données (déni de service). 

Dans le pire des cas, l'attaquant exploitant cette faille 
peut obtenir et altérer des informations auxquelles il ne 
devrait pas avoir accès. intégrité et confidentialité 
affectés. 
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Explications 


a De nombreuses applications utilisent des 
informations provenant d’un usager afin de 
construire leurs requêtes SQL. 


Par exemple, le nom de l'usager, le nom d'une 
application, etc. 


a Malheureusement, peu de validations sont 
faites — ou elles le sont de façon erronée. 


Jean-Marc Robert, ETS Vulnérabilités logicielles - A16 48 


Exemple | (SQL) 


SELECT ITEM,PRICE FROM PRODUCT WHERE 
ITEM CATEGORY='Suser input' ORDER BY PRICE 


Si $user input='\'; UPDATE PRODUCT SET PRICE = 0; - 
Provenant de l'usager sans aucun test 


Alors le résultat sera: 
SELECT ITEM, PRICE FROM PRODUCT WHERE ITEM CATEGORY="''; 


UPDATE PRODUCT SET PRICE = 0; 
" ORDER BY PRICE sera considéré comme un commentaire (car --) 
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Exemple II (PHP) 


Sid = $ COOKIE | "mid" |; 
mysql query('"SELECT MessageID, Subject 
FROM messages WHERE MessageID = 'Sid'"); 


Si l'usager peut modifier le cookie, Sid = 1432' or '1' = '1 


Alors le résultat sera: 


SELECT MessageID, Subject 
FROM messages WHERE MessageID = "1432" or "1! 


= 11" 
Solution: Sid = intval($ COOKIE["mid"]); 
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Vulnérabilités 


a CVE-2006-6848 
Injection SQL (ASPTicker 1.0 - via le champ 
PATH_INFO) permettant à un attaquant 
d'exécuter une commande SQL arbitraire. 


a CVE-2016-1446 


Injection dans Cisco WebEx Meetings Server 2.6 
permettant à un attaquant authentifié distant 
d'exécuter une commande SQL arbitraire. 
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Statistiques 


a National Vulnerability Database 


Recherche en utilisant les mots clés: SQL Injection 
— mais sans analyse de pertinence. 


Il y a 6,453 entrées répondant à cette recherche 
(sur - 78,732) — 2016-09-10 
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Antidotes Filter the input! 


a Formation a Ne jamais utiliser la 
concaténation ou la 
2 Revue de code substitution de chaînes 
Visuelle Utiliser des requêtes prédéfinies 


ou paramétrées. 
a Audit (interne et externe) 


| a Utiliser des procédures pré- 
2 Valider toutes les définies pour accéder à la BD 
données des usagers. Ne bas utiliser un nom de 


Expressions régulières table provenant d’un usager 
pour les requêtes. 
avec la BD 
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: | Mise-en-œuvre 
injections 
de commandes de l'OS 


a Un programme permettant de soumettre au 
système d'exploitation des commandes 
génériques. 

Dans le meilleur des cas, l'attaquant exploitant cette 


faille peut obtenir des informations auxquelles il ne 
devrait pas avoir accès. 


Dans le pire des cas, l'attaquant exploitant cette faille 
peut exécuter un code malicieux qu'il a construit. 
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Explications 


a De nombreuses applications utilisent des 
informations provenant d'un usager afin de 
construire les commandes soumises à l'OS. 


Par exemple, le nom de l'usager, le nom d'une 
application, etc. 


a Malheureusement, peu de validations sont 
faites — ou elles le sont de façon erronée. 
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Exemple (PHP) 


susSerName = $ POST|"usSeér"|]; 
Scommand = "ls -1 /home/' . SuserName; 
system($commandi ; 


Si l'usager peut entrer le nom: ;rm -rf / 


Alors le résultat sera:  1s -1 /home;rm -rf / 
(lister tous les fichiers et détruire tous les fichiers récursivement) 
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e Vulnérabilité 


a CVE-2008-4796 


Injection de commande (Snoopy 1.2.3 et avant, 
utilisé en autre par (1) ampache, (2) libphp-snoopy, 
(3) mahara, (4) mediamate, (5) opendb), (6) 
pixelpost) permettant à un attaquant d'exécuter 
une commande arbitraire via les metacharacters 
des shells dans les URLS htitps. 
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Statistiques 


a National Vulnerability Database 


Difficile de trouver une façon pertinente d'interroger 
la base de données. 
Absence d'une nomenclature adéquate (ontologie) 
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Antidotes Filter the input! 


a Formation a Ne jamais utiliser la 
concaténation ou la 
2 Revue de code substitution de chaînes 
Visuelle Utiliser des listes blanches de 


_ paramètres prédéfinies. 
a Audit (interne et externe) 


a Valider toutes les 
données des usagers. 


Expressions régulières 
pour les requêtes. 
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® Cross-site scripting (XSS) 


a Un programme permettant de soumettre un 
script malveillant à un tiers. 

Dans le meilleur des cas, cette vulnérabilité peut 
entrainer un comportement erratique de 
l'application affectée. 
Dans le pire des cas, l'attaquant exploitant cette 
faille peut obtenir des informations auxquelles il ne 
devrait pas avoir accès (ex : vol de sessions 
administrateur). 
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Cross-site scripting (XSS) 


a Trois principaux types: 
Non-persistant (ou réfléchi) 
Persistant (ou stocké) 
Basé sur des DOM 
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XSS non-persistant 


a L'attaquant identifie un site vulnérable. 


a L'attaquant construit une URL qui inclus une 
chaîne malicieuse contenant du HTML et un 
Script (p.ex. JavaScript). 


a L'attaquant envoie cette URL aux victimes 
potentielles (SPAM?). 
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Explications — 
XSS non-persistant 
a Üne victime alors consulte cette URL qui passe 


la chaîne malicieuse lorsque le client web 
effectue la requête GET au site vulnérable. 


a Le site vulnérable renvoie la chaïîne malicieuse 
au client web de la victime qui l'exécute. 
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© Exemple | (non-persistant) 


<?Dhp 
Sname = $ GET['‘name'’ |]; 
if (isset (S$Sname)) { 


echo “Hello Sname’: 


2 
Client > serveur 
http://www.fl.com/gti619.php?name-jean-marc 
Un script Java peut être exécuté par le client! 
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Exemple | (non-persistant) — 
oi Simple à corriger | 


<?php 
Sname = $ GETI ‘name’ |]; 
if (isset (Sname)) { 


if (preg match(‘'/T\w{5,25}$/", Sname)) { 
echo “Hello, ”’.htmlentities (S$Sname); 


} else { 
echo “Allez au diable!” 


} 
Fa 
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Explications — 
XSS persistant 


a L'attaquant identifie un site vulnérable. 
Blog, forum, 


a L'attaquant dépose un « billet >» malveillant 
contenant un script malicieux. 


a Le site vulnérable renvoie le script malicieux 
au client web de la victime qui l'exécute. 
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Exemple Il (persistant) 


CreateUser.php 
Susername =mysql real escape string($username); 
SfuliName =mysql real escape string($fulliName); 
$Squery =sprintf('Insert Into users (username,password) 
Values ("$5s","S$s","Ss")t®, 
Susername, crypt ($Spassword), SfullName); 
mysql query($query); 


Afin d'éviter les injections SQL. Remplacer certains 
caractères spéciaux dans la chaîne. 


Malgré tout, le nom peut être du code HTML arbitraire. 
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Exemple Il (persistant) — suite 


ListUsers.php 
Squery = 'Select * From users Where loggedIn-true; 
$results = mysql query($query); 
LE (léresules) { 
ÉXIiC; 
} 
//Print list of users to page 
echo ‘<div id="userlist">Currently Active Users:'; 
while ($row = mysql fetch assoc($results)) !{ 
echo ‘<div class="userNames">".S$row['fullname'].'</div>'; 


} 
echo "</div> 
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e Explications — XSS DOM 


a L'attaquant identifie un site vulnérable. 


a Le code malicieux modifie l’environnement DOM 
du fureteur de la victime. 


a L'attaquant envoie cette URL aux victimes 
potentielles (SPAM?). 


a Le code malicieux n'est donc pas contenu dans 
la page retournée par le serveur. 


a DOM: Document Object Model 
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Exemple III (DOM) 


a Supposons que le code suivant est utilisé afin de 
sélectionner la langue: 


<SeléCE<SCripe 


document.write( "<OPTION value=1>" + 
document.location.href.substring( 


document.location.href.indexOf ("default=") + 8) + 
Bé/OPIDIONRRR 
document .write ("<OPTION value=2>English</OPTION>"); 
</script></select> 
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Exemple II (DOM) — suite 


a La page est appelée de la façon suivante: 


http://www.some.site/page.html?default-French 


a L'URL suivant est envoyé aux victimes: 


http://www.some.site/page.html?default-=<script>al 
ert (document.cookie)</script> 
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Vulnérabilités 


a CVE-2011-2107 (Universal XSS) 


XSS (Adobe Flash Player avant 10.3.181.22 pour 
Windows, Mac OS X, et Linux et avant 10.3.185.22 pour 
Android) permettant à un attaquant distant d’injecter 
des scripts JavaScript ou HTML. 


a CVE-2015-0072 


XSS (Microsoft IE 9 à11) ) permettant à un attaquant 
distant de contourner la Same Origin Policy ou 
d’injecter des scripts ou HTML. 


Jean-Marc Robert, ETS Vulnérabilités logicielles - A16 12 


e Statistiques 


a National Vulnerability Database 


Recherche en utilisant les mots clés: XSS — mais 
sans analyse de pertinence. 


Il y avait 9,993 entrées répondant à cette recherche 
(sur - 78,732) — 2016-09-10 
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Filter the input! 


Antidoies Escape the output! 


a Formation a Valider toutes les informa- 
tions provenant des usagers. 
2 Revue de code Limiter les possibilités. 
Visuelle 


a Toute information retournée 
a Audit (interne et externe) devrait être en HTML. 
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CSRE 
Cross-Site Request Forgery 


a Un programme malveillant utilisant un site qui 
ne peut pas vérifier si une transaction est 
effectivement faite par Un usager. 

Dans le pire des cas, l'attaquant exploitant cette 


faille peut faire exécuter des requêtes, transactions 
par des tiers. 
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Explications 
CSREF — premier exemple 


a L'attaquant identifie un site vulnérable. 
a L'attaquant utilise un site malveillant. 


a Lorsqu'une victime visite ce site malveillant tout 
en étant loggé sur le site vulnérable, le site 
malveillant cherche à exploiter le site vulnérable. 
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CSRF — Exemple | 
Site vulnérable — le formulaire 


//permet à un utilisateur de mettre à jour son profile 


<form action-="/url/profile.php" method="post"> 

<input type="text" name="firstname"/> 

<input type="text" name="lastname"/> 

<br/> 

<input type="text" name="email"/> 

<input type="submit" name="submit" value-="Update"/> 
</form> 
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CSRF — Exemple | 
Site vulnérable — profile.php 


Session Start (); 
//if the session is registered to à valid user then allow update 
11. Fi Session LS régistered("usernmeame")) À 

echo "invalid session detected!"; 

// Redirect user to login page 

Era 


exit; 


// The user session is valid, process the request 
update profile); 


function update profile { 

// read in the data from $SPOST and send an update to the database 
SendUpdateToDatabase($ SESSION['username'], $ POST['email']); 
Le. 


echo "Your profile has been successfully updated."; 


} 
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CSRF — Exemple | 
Site malveillant 


SSCRIET 
function SendAttack () !{ 
form.email = "attacker(example.com'; 


// send to profile.php 
Form;,submic();} 
</ SCRIPT- 


<BODY onload="javascript:SendAttack();"> 
<form action="http://victim.example.com/profile.php" id="form" 
method="post"}> 
<input type="hidden" name="firstname" value="Funny"> 
<input type="hidden" name="lastname" value="Joke"> 
do a 
<input type="hidden" name="email"> 
</form> 
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Explications 
CSRF -— deuxième exemple 


a L'attaquant identifie un site vulnérable. 
a L'attaquant construit une URL qui inclus une 
chaîne malicieuse. 


a L'attaquant envoie cette URL aux victimes 
potentielles (SPAM?). 


a Lorsqu'une victime consulte cette URL tout en 


étant loggé sur le site vulnérable, l’attaque se 
produit. 
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CSRF - Exemple II 
Site vulnérable 


a Lesite vulnérable effectue une transaction une 


fois que l'usager est authentifié. 
GET http://bank.com/transfer.do?acct-=BOB&amount=100 HTTP/1.1 


a L'attaquant envoie le courriel (SPAM) suivant: 


<img src="http://bank.com/transfer.do?acct=MARIAg&amount=1000" 


wWidth="1" heïight="1" border="0"> 
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Explications (variante) 
CSRF -— deuxième exemple 


a L'attaquant identifie un site vulnérable. 
a Un logiciel Trojan exploite cette vulnérabilité. 


a Lorsqu'une victime est loggé sur le site vulnérable, 
le Trojan soumet des transactions non-prévues. 
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Vulnérabilités 


a ingdirect.com, 2008 


Nytimes.com, 2008 


a "There are simply too many [CSRF-vulnerable 
Websites] to count," says rsnake, founder of 
ha.ckers.org. 2006 


+ À moins d'utiliser un “framework” qui en protège ou 
d'implémenter un mécanisme de défense, n'importe quel site 
Web qui accepte des données usager à travers un formulaire 
est vulnérable par défaut! 
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Statistiques 


a National Vulnerability Database 


Recherche en utilisant les mots clés: CSRF — mais 
sans analyse de pertinence. 


Il y avait 1,388 entrées répondant à cette recherche 
(sur - 78,732) — 2016-09-10 
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Antidotes 


a Tout les formulaires 
devraient comporter un 
hamp 
a Revue de code Fe iel dans sub 
de type « hidden » et 


a Formation 


Visuelle | Fr 
valider côté serveur la 
à Audit (interne et externe) présence du secret 
lorsque le formulaire est 
soumis 
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Mauvaise utilisation 
des mots de passe 
a Une application ou un protocole utilisant un 


mot de passe de façon inappropriée. 


L'attaquant exploitant cette faille peut obtenir des 
informations auxquelles il ne devrait pas avoir accès. 
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e Explications …. 


a La mise en place d'une politique de mots de 
passe est plus complexe qu'il n'y parait. 


Est-ce que le système d'enregistrement génère des 
mots de passe difficiles à déterminer? 


Est-ce que les usagers peuvent choisir des mots 
de passe trop simples”? 

Est-ce que les usagers doivent changer leurs 
mots de passe régulièrement? 
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… et fin? 


a La mise en place d'une politique de mots de 
passe est plus complexe qu'il n'y parait. 


Comment les mots de passe sont-ils créé et 
transmis”? Comment sont-ils conservés”? 


Est-ce qu'il existe un moyen de ralentir les 
attaques massives”? 
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Mise-en-œuvre 


Path ITraversal 


a Un programme permettant de consulter un 
répertoire inapproprié. 
Dans le pire des cas, l'attaquant exploitant cette faille 


peut obtenir des informations auxquelles il ne devrait 
pas avoir accès. 
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Explications 


a De nombreuses applications utilisent des 
informations provenant d’un usager afin de 
déterminer quel fichier doit être consulté. 

Par exemple, le nom de l'usager, le nom d'une 
application, etc. 


a Malheureusement, peu de validations sont 
faites — ou elles le sont de façon erronée. 
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Exemple | (Java) 


a Tentative de validation (simple): 


String path = getInputPath({); 
if (path.startsWith("/safe dir/")) 
{ 
File f = new File(path); 
L.aelètre() 
} 


a Infructueux: /safe dir/../important.dat 
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Exemple Il (Perl) 


a Tentative de validation (simple): 


my $SUsername = GetUntrustedInput (); 
SUsername A 07 
my $filename = "/home/user/".SUsername; 


ReadAndSendFile(Sfilename); 


a Infructueux! Ne retire que le premier « 
Paramètre global: /g|! 
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Vulnérabilités 


a CVE-2008-5515 


Path traversal (Apache Tomcat de 4.1.0 à 4.1.39, 
de 5.5.0 à 5.5.27, de 6.0.0 à 6.0.18) permettant à 
un attaquant de consulter les divers répertoires. 


a CVE-2016-5092 


Path traversal (Fortinet FortiWeb avant 5.5.3) 
permettant à des administrateurs authentifiés 
distants de lire des fichiers arbitraires. 
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e Statistiques 


a National Vulnerability Database 


Recherche en utilisant les mots clés : Path traversal 
— mais sans analyse de pertinence. 


Il y avait 261 entrées répondant à cette recherche 
(sur - 78,732) — 2016-09-10 
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Antidotes Filter the input! 


a Formation a Valider toutes les données 
des usagers. 
2 Revue de code Expressions régulières pour les 
Visuelle requêtes. 


Normaliser les requêtes. 
a Audit (interne et externe) 
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Concurrence critique 


a Un programme utilisant une ressource qui est 
utilisée par un autre programme. 


Dans le meilleur des cas, cette vulnérabilité peut 
entrainer un comportement erratique de l'ordinateur 
compromis. 

Dans le pire des cas, l'attaquant exploitant cette faille 
peut obtenir des informations auxquelles il ne devrait 
pas avoir accès. 
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Explications 


a Un programme accédant à une ressource 
(p.ex., un fichier) doit s'assurer qu'il en a 
l'usage exclusif. 


Le programme doit chercher à éviter qu'un autre 
programme modifie la ressource à son insue. 


a Mauvaise utilisation des « mutex ». 
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Exemple (Perl) 


Stransfer amount = GetTransferAmount(); 
Sbalance = GetBalanceFromDatabase |); 

if ($Stransfer amount < 0) { 
FatalError("Bad Transfer Amount"); 

} 

Snewbalance = $balance - $transfer amount; 
if (($balance - $transfer amount) < 0) !{ 
FatalError("Insufficient Funds"); 


} 


SendNewBalanceToDatabase ($Snewbalance) ; 


NotifyUser ("Transfer of $transfer amount succeeded."); 


NotifyUser ("New balance: $newbalance"); 
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Exemple (Perl) 


a Supposons le solde soit de $1000. 


a Deux programmes utilisent simultanément le 
code. 
Retrait de $500. 
Retrait de $1. 


a Combien devrait-il rester d'argent dans le 


compte? 
5999, $500, $499? 
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Vulnérabilités 


a CVE-2011-0784 


Condition critique (Google Chrome avant 9.0.597.84) 
permettant à un attaquant distant d'exécuter un code 
malicieux via les vecteurs audio. 


CVE-2016-4247 
Condition critique (Adobe Flash Player avant 
18.0.0.366 et de 19.x à 22.x avant 22.0.0.209 pour 
Windows and OS X et avant 11.2.202.632 pour Linux) 


permettant à un attaquant d’obtenir des 
informations sensibles. 
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e Statistiques 


a National Vulnerability Database 


Recherche en utilisant les mots clés : Race condition 
— mais sans analyse de pertinence. 


Il y avait 479 entrées répondant à cette recherche 
(sur - 78,732) — 2016-09-10. 
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Antidotes 


a Formation a Utilisation de méthodes 
permettant de réserver les 
a Revue de code ressources. 
Visuelle mutex 


a Audit (interne et externe) 
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Cas : Heartbleed 


Heartbleed est une vulnérabilité logicielle 
présente dans la bibliothèque de cryptographie 
open source OpenSSL à partir de mars 20172, qui 
permet à un « attaquant » de lire la mémoire d'un 
serveur ou d'un client pour récupérer, par 
exemple, les clés privées utilisées lors d'une 
communication avec le protocole Transport Layer 
Security (TLS). Découverte en mars 2014 et 
rendue publique le 7 avril 2014 (wikipedia) 
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LL Heartbleed en 


Image 
) 


RRE YO) SNL. THERE? 
F5, “HAT (500 LETTERSI 


À 


eer Meg vants the 900 letters: HAT. 
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Cas : Shellshock 


Shellshock, aussi appelé Bashdoor, est une 
vulnérabilité logicielle présente dans le shell Unix 
bash. Elle a été découverte en septembre 2014. 
(wikipedia) 


sh$ env TEST="'() { echo test; }; echo “"vulnerable"' bash -c "echo hello" vulnerable hello 
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Exemple complet 
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PHP — Exemple complet 


<?php 
Ab = mysql connect ("losalhost”, Nusagéroass", \MyPasss?); 
mysql select db “Login”, Sdb); 
a Lo — $ CET]; 
$Spasse — $ GET['passe'l]; 
Sqry = “SELECT * FROM usager WHERE id=$id AND passe=$passe”; 
$Sresult = mysql query ($qry, $db); 
1F (Sresule). { 
// accorder accès 
} else { 
|} accès InCOorrect 
} 
2php> 
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Problème #1 — 
Accès à la base de données 


Sd = mysal conneécc("localhostT, ‘"uüsagerpass”, “SMyPasss5sT); 


Mysql Select dh("Losin", Sdb); 


Solution 1: Utiliser include './accesdb.php'; 


au lieu des deux lignes sensibles. 
Le problème n’est que déplacé. Le fichier accesdb.php est dans 
le répertoire « document root » et peut être accéder par URL. 


Solution 2: include ‘'/path/accesdb.php'; où 
path est externe à « document root ». 
Pas accessible par URL. 
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Problème #1 — 
Accès à la base de données 


Créer un fichier /path/secret où path est externe au 
« document root » contenant: 

setEnv DB USER = ‘usagerpass” 

SétcEnv DB PASS = VéMyvPass 2" 

Ce fichier ne peut être lu que par apache (usager pour httpdl). 
Inclure ce fichier dans le fichier httpd.conf 


include “/path/secret” 


Utiliser les variables de configuration: 


$db = mysql connect (“localhost”,$ ENVIDB USER], 
$ ENVIDB PASS]); 


dans accesdb.php (externe au « document root »). 
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PHP — Exemple complet 


<rpnp 
$db = mysql connect (“localhost”, “usagerpass”, $MyPasss5”); 
mysql select db("Login”, $db); 
S CET 14"; 


$ GET ['passe']; 
Sqry = “SELECT * FROM usager WHERE id=$id AND passe=$passe”; 
Sresult = mysql query ($qry, $db); 
if (Sresult) { 


/J accorder aûcés 


} else { 
ÎJ accés incorrect 


} 
27 
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Problème #2 — 
Filtrer les entrées 


a L'usager entre: 
toto OR 1=1”; -- dans le champid 
abc dans le champ passe 


a La requête devient donc 
NSELECT * FROM usager WHERE id = toto OR 


1=1"; —- AND passe — abc”; 


a L'expression booléenne est toujours vraie! 
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Problème #2 — 
Filtrer les entrées 


a S'assurer que les informations fournies par 
l'usager sont valides: 


Sregexp = “/"T[A-Za-z][A-Za-z0-9 ]+S$/Y 
if (preg match ($regexp, S$Sid)) { 


// accepter l'information de l’usager 


} else { 


// rejeter l'information de l'usager 
} 
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Problème #2 — 
Filtrer les entrées 


a Autre exemple : 
$Svalide = array); 
ÉWLeon(S POST Conleur"]}t 
case ‘bleu: 
Case ‘blanc’: 
case ‘rouge': Svalidel'couleur! $ POST['eouleur 1]; 
break; } 
if (isset ($Svalidel'couleur']) 


else { … cas d'erreur … } 
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PHP — Exemple complet 


<rpnp 
$db = mysql connect (“localhost”, “usagerpass”, “$MyPasss5”); 
mysql sSelece Ob(NLoGir",; db}; 
a Lo — $ CÉTIEQTT; 
spassé — © GET['passe']; 
Sqry — “SELECT * FROM usager WHERE id=$id an] passe-spasse”: | 
Sresult = mysql query ($qry, $db); 
LÉ (SréesutlE). À 
// accorder accès 
} else { 
// accès incorrect 


} 
27 
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Problème #3 — 
Les mots de passe 


a Les mots de passe sont conservés tels quels 
dans la base de données. 


a Si la base de données devient accessible, les 
mots de passe peuvent être obtenus facilement. 


a Solution couverte dans le cours sur le Web mais 
il faut voir et comprendre la cryptographie avant! 
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PHP — Exemple complet 


<?php 
Ab = mysql connect ("losalhost”, Nusagéerpass”",; SMyPasss?); 
mysql select db “Login”, Sdb); 
a Lo — $ CET]; 
$Spasse — $ GET['passe'l]; 
Sqry = “SELECT * FROM usager WHERE id=$id AND passe=$passe”; 
Sresult = mysql query ($qry, $db); 
if ($Sresult) !{ 
// accorder accès 


} else { 


ÎJ accés Încorrect 


ee 
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Problème #4 — 
Les mots de passe 


a Aucun mécanisme permettant de diminuer 
l'impact d'une recherche exhaustive. 


Bloquer le compte après trois tentatives erronées. 
Déni de service potentiel! 


Ralentir les vérifications après trois tentatives erronées. 
Attendre une minute. 


Les CAPTCHAII! felowing eine 


http://en.wikipedia.org/wiki/Captcha 
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Conclusions 


a Utilisation des données des usagers. 
Valider les informations. 
Limiter les possibilités (p.ex. requêtes prédéfinies). 


a Protection des informations sensibles. 
Ne rien « cacher » dans un programme. 
Cryptographie. 


a Formation, revue de code, audit (outil). 
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Références 


a Site de CWE — Common Weakness Enumeration 
Colossal! 


a Site de l'OWASP 
Incontournable pour le développement Web 
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Annexe — Android et iPhone 
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National Vulnerability Database 
2016-09-10 


a Requête 1: 
Mots clés: 


Nombre: 


a Requête 2: 


Mots clés: 
Nombre: 


Jean-Marc Robert, ETS 


Android + Flash 
227 dont 204 élevées 


Android (sans Flash) 
2467 dont 633 élevées 
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National Vulnerability Database 
2016-09-10 


a Requête 3: 
Manufacturier: Apple 
Produit: iPhone OS 
Nombre: 455 (élevée) + 567 (moyenne) 
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e Android + Flash 


a CVE-2011-2110 


Summary: Adobe Flash Player before 10.3.181.26 on 
Windows, Mac OS X, Linux, and Solaris, and 
10.3.185.23 and earlier on Android, allows remote 
attackers to execute arbitrary code or cause a denial 
of service (memory corruption) via unspecified vectors, 
as exploited in the wild in June 2011. 


CVSS Severity: 10.0 (HIGH) 
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e Android + Flash 


a CVE-2011-0628 
Summary: Integer overflow in Adobe Flash Player 
before 10.3.181.14 on Windows, Mac OS X, Linux, and 
Solaris and before 10.3.185.21 on Android allows 
remote attackers to execute arbitrary code via 
ActionScript that improperly handles a long array 
object. 


CVSS Severity: 9.3 (HIGH) 


Jean-Marc Robert, ETS Vulnérabilités logicielles - A16 124 


e Android + Flash 


a CVE-2011-2107 


Summary: Cross-site scripting (XSS) vulnerability 
in Adobe Flash Player before 10.3.181.22 on 
Windows, Mac OS X, Linux, and Solaris, and 
10.3.185.22 and earlier on Android, allows remote 
attackers to inject arbitrary web script or HTML via 
unspecified vectors, related to a “universal cross- 
site Scripting vulnerability." 


CVSS Severity: 4.3 (MEDIUM) 
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© Android (sans Flash) 


a CVE-2011-1149 


Summary: Android before 2.3 does not properly 
restrict access to the system property space, which 
allows local applications to bypass the application 
sandbox and gain privileges, as demonstrated by 
psneuter and KillinginTheNameOf, related to the 
use of Android shared memory (ashmem) and 
ASHMEM_SET_PROT _MASK. 


CVSS Severity: 7.2 (HIGH) 
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© Android (sans Flash) 


a CVE-2010-4804 


Summary: The Android browser in Android before 
2.3.4 allows remote attackers to obtain SD card 
contents via craïfted content:// URIs, related to (1) 
BrowserActivity.java and (2) BrowserSettings.java 
in com/android/browser/. 


CVSS Severity: 4.3 (MEDIUM) 
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Apple iPhone 


a CVE-2010-2973 


Summary: Integer overflow in IOSurface in Apple iOS 
before 4.0.2 on the iPhone and iPod touch, and before 
3.2.2 on the iPad, allows local users to gain privileges 
via vectors involving lOSurface properties, as 
demonstrated by JailbreakMe. 


CVSS Severity: 6.9 (MEDIUM) 


Jean-Marc Robert, ETS Vulnérabilités logicielles - A16 128 


Apple iPhone 


a CVE-2010-1752 
Summary: Stack-based buffer overflow in CFNetwork 
in Apple iOS before 4 on the iPhone and iPod touch 
allows remote attackers to execute arbitrary code or 
cause a denial of service (application crash) via 
vectors related to URL handling. 


CVSS Severity: 6.8 (MEDIUM) 
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Apple iPhone 


a CVE-2016-4656 


Summary: The kernel in Apple iOS before 9.3.5 
allows attackers to execute arbitrary code in a 
privileged context or cause a denial of service 
(memory corruption) via a crafted app. 


CVSS Severity: 9.3 (HIGH) 
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